A Study on the Hazard Identification for the Implementation of A-SMGCS

http://dx.doi.org/10.12673/jant.2015.19.1.41

This is an Open Access article distributed under the terms of the Creative Commons Attribution Non-CommercialLicense(http://creativecommons .org/licenses/by-nc/3.0/) which permits unrestricted non-commercial use, distribution, and reproduction in any medium, provided the original work is properly cited.

Received 10 February 2015; Revised 12 February 2015 Accepted (Publication) 20 February 2015 (28 February 2015)

*Corresponding Author; Youn-Chul Choi

Tel: +82-41-671-6272 E-mail: [email protected]

J. Adv. Navig. Technol. 19(1): 41-47, Feb. 2015

A-SMGCS 구현을 위한 위험요소 식별에 대한 연구

A Study on the Hazard Identification for the Implementation of A-SMGCS

홍 승 범

·최 승 훈

·최 연 철

1

한서대학교 항공학부

2

한서대학교 대학원 항공시스템공학과

Seung-Beom Hong

· Seung-Hoon Choi

· Youn-Chul Choi

1

School of Aeronautical, Hanseo University, Chungcheongnam-do 357-953, Korea

2

Department of Aeronautical System Engineering, Hanseo University Graduate, Chungcheongnam-do 357-953, Korea

[요 약]

최근 국내에서 A-SMGCS (advance surface movement ground control systems) 레벨 Ⅳ 단계를 구현하기 위한 연구가 활발히 진행 중에 있다. 전체 A-SMGCS 시스템의 안전을 확보하기 위하여 안전성 평가가 필요하며, 유로컨트롤에서는 A-SMGCS의 안전성 평가 를 위하여 기능별 위험요소 평가, 예비시스템 안전성 평가, 그리고 시스템 안전성 평가를 수행하도록 권고하고 있다. 본 논문에서는 기능별 위험요소 평가 방법을 통하여 전체 A-SGMCS의 위험요소를 식별한다. 따라서 A-SMGCS레벨 Ⅳ시스템에 대하여 29가지 위 험 요소를 식별하고 각 위험요소의 심각도를 평가하는 자료로 활용할 것이다.

[Abstract]

Recently, it is actively under study for the implementation of advance surface movement ground control systems (A-SMGCS) level Ⅳ in Korea. To ensure the safety of the A-SMGCS system needs the safety assessment, and Eurocontrol is encouraged to perform the functional hazard assessment, preliminary system safety assessment, and system safety assessment to the safety assessment of A-SMGCS. In this paper, we identify the hazard of A-SMGCS through a functional hazard assessment. Therefore, we will identify 29 types of hazard for the A-SMGCS level Ⅳ and serve as important data to evaluate the severity of each hazard.

Key word : Advanced surface movement ground control system, Safety assessment methodology, Functional hazard

assessment, Hazard identification.

그림 1. A-SMGCS 기능별 의존성

Fig. 1. Dependencies between A-SMGCS functions.

Ⅰ. 서 론

국제 항공 운송 업무에 관하여 ICAO (international civil aviation organization)에서는 2025년까지 여객시장과 화물시장 이 각각 연평균 4.6%, 6.6%의 성장률을 예상하고 있다. 따라서 급격하게 증가하는 항공 수요에 따른 공항 확장 및 대형화가 국 제적인 추세이며 이로 인하여 24시간 운영되는 공항이 점차 증 가되고 있다. 특히 야간의 경우 보다 신속하고 안전한 공항을 운영하기 위해서 더욱 정밀하고 ICAO의 표준과 권고에 부합하 는 등화의 운영이 강조되고 있으므로 이와 같은 전천후 공항운 영시스템 구축을 위해 관련 기술의 개발과 추진이 요구되고 있 는 상황이다.

현재 국내의 국제공항은 물론 군용공항, 중소공항 및 소규모 의 개인소유공항들도 국제기준에 따라 항행안전을 위한 다양 한 형태의 등화시스템을 구축하여 운용하고 있으며, 차세대 고 효율 에너지 절감형 항공등화시스템으로 개별등화 감시 및 제 어시스템 (ILCMS; individual light control and monitoring system) 기술개발과 A-SMGCS (advance surface movement ground control systems) 기술개발이 집중되고 있다. 외국의 경 우 A-SMGCS 기술은 이미 성숙단계에 있으나 국내는 허니웰 시스템으로 구축된 인천국제공항을 제외하고 그이외의 공항은 국내 기술로 개발하고 있으나 아직 초기개발 상태에 있다 [1],[2].

최근 국내에서 A-SMGCS 레벨 Ⅳ급으로 개발이 진행 중에 있다. A-SGMCS 시스템을 구현하기 전에 발생할 수 있는 시스 템 안전성 평가를 수행하게 된다. A-SMGCS 안전성 평가는 EMMA D1.3.9[3]에서 개념적으로 관제사 관점에서 발생할 수 있는 위험요소를 개발 단계별로 식별하였지만 국내 환경과 일 치하지 않는 문제점이 있다. 즉, 국내의 경우 전체 시스템을 5년 간 동시에 개발하기 때문에 기능별로 구현단계별로 위험 요소 를 식별하지 못하는 문제점이 있다.

따라서 본 논문에서는 ICAO에서 정의된 구현 레벨 5단계에 관하여 발생할 수 있는 위험(risk)의 유형을 살펴보기 위해 위험 요소(hazard) 식별을 위해 유로컨트롤에서 기능별 .위험요소 평 가 (FHA; functional hazard assessment) 방법과 ICAO A-SMGCS 매뉴얼 DOC 9830을 근간으로 위험요소 식별 방법 을 조사한다. 또한 시스템에서 발생할 수 있는 위험요소를 기능 별로 분류하여 위험요소를 조사한다. 국내에서 개발하고 있는 국내형 레벨 Ⅳ급 A-SMGCS의 위험요소 식별과 평가 방법론 에 자료로 활용하며 추후 검증 및 확인 (validation &

verification)에 필요한 주요 기능으로 선별한다.

본 논문의 구성은 Ⅱ장에서 A-SMGCS 개요 및 구현단계에 관하여 설명하고 Ⅲ장에서 안전성 평가 방법론 (SAM; safety assessment methodology)을 구성하는 4가지 단계에 대하여 살 펴본다. Ⅳ장에서 기능별 위험요소 식별을 설명하고 마지막 Ⅴ 장에서 결론을 맺는다.

Ⅱ. A-SMGCS 개요 및 구현단계

2-1 A-SMGCS 개요

A-SMGCS는 공항의 시정상황, 교통량, 그리고 공항의 레이 아웃의 복잡성 등의 다양한 환경에서 활주로에서 이동하는 차 량, 항공기들을 순서대로 안전하게 이동할 수 있도록 감시, 통 제, 유도, 그리고 경로지정 등의 네 가지 기능을 제공하는 시스 템으로 정의하고 있다[1]. A-SMGCS를 구성하고 있는 네 가지 기능을 ICAO에서는 순수하게 관제사의 수동적인 작동에 의해 서 이루어지는 단계인 레벨 Ⅰ에서부터 모든 시스템이 자동화 하는 레벨 Ⅴ까지 다섯 가지 구현단계를 정의하고 있다.

그림 1과 같이 A-SMGCS는 업무에 대한 의존성을 고려하여 설계되어야한다. 예를 들면 감시업무는 통제업무를 이행하기 위해 미리 요구되는 하나의 요구조건이 된다. 지상안내는 지정 된 경로를 따라서 자동화된 안내 및 관제를 위해 개선된 시각적 인 보조시설을 포함한다[1]-[4].

모든 A-SMGCS는 다음 네 가지 기능을 갖고 있다.

① 감시(surveillance)

조종사 및 이동차량 운전자들에게 교통정보를 전송하기 위 한 수단으로 항공기/차량 및 기타 물체에 대한 식별 및 정확한 위치를 감시한다.

② 통제(control)

이동지역 내의 항공기 및 다른 이동차량과 관련한 어떠한 충 돌에 대하여 감지하며 효과적인 지상이동을 확보하기 위한 방 법을 제공한다.

③ 지상유도/안내(guidance)

감지된 항공기 및 이동차량의 위치 장애물, 활주로, 지상 활 주로에서 보이는 연속적이고 명백하며 신뢰성 있는 정보를 제 공하는데 필요한 시설이다.

④ 경로지정(routing planning)

항공기가 활주로에 착륙한 후 제일 먼저 이행되어져야하는

부분으로 현재 위치에서 의도된 위치로 안전하고 신속하게 이

동하기 위한 계획 및 지상규칙과 다른 이동차량 및 항공기와의

잠재적인 충돌에 따른 지연을 최소화 시킨다.

등급 기능 구현 수준 비고(특징)

I

 • 조종사 : 감시, 통제(충돌 예측․탐지, 분석, 회피) 및 경로지정 제공

 • 조종사 및 차량 운전자 : 시각적으로 충돌회피하고, 지상에 도색된 중심선, 유도 안내 표지에 의해 정보 습득  • 시스템 : 감시, 통제(충돌 예측․탐지, 분석, 회피), 경로지정 및 안내에 시스템 활용 없음

시스템 미활용

II

 • 관제사 : 감시, 통제 (충돌 예측․탐지, 분석, 회피) 및 경로지정 제공

 • 조종사 및 차량 운전자 : 시각적으로 충돌회피하고, 지상에 도색된 중심선, 유도 안내 표지 및 고정 중심선등화로 정보 습득

• 시스템 : 감시 및 통제부분의 충돌예측 및 탐지에 시스템 활용

고정중심선등화 제공 및 감시/통제 시스템 활용

III

 • 관제사 : 통제(충돌 예측․탐지, 분석 및 회피) 및 등화 수동제어로 안내 제공

 • 조종사 및 차량운전자 : 시각적으로 충돌회피하고, 지상에 도색된 중심선, 유도 안내 표지에 의해 정보 습득  • 시스템 : 감시, 통제(충돌 예측․탐지, 분석, 회피), 경로지정에 시스템 활용

관제사 등화 수동제어 감시, 통제, 경로지정에 시스템

활용

IV

 • 관제사 : 통제(충돌 예측․탐지, 분석 및 회피) 제공

 • 조종사 및 차량 운전자 : 시각적으로 충돌회피하고, 지상에 도색 된 중심선, 유도 안내 표지에 의해 정보 습득  • 시스템 : 감시, 통제(충돌 예측․탐지, 분석, 회피), 경로지정에 시스템 활용 및 중심선등화 자동화로 안내제공

감시, 통제, 경로지정, 안내 자동시스템 활용

V

 • 관제사 : 통제(충돌 예측․탐지, 분석 및 회피) 제공

 • 조종사 및 차량운전자 : 지상에 도색 된 중심선, 유도 안내 표지에 의해 정보 습득 및 기/차내 탑재장비 활용  • 시스템 : 감시, 통제(충돌 예측․탐지, 분석, 회피), 경로지정에 시스템 활용 및 중심선등화 자동화로 안내제공

항공기 탑재장비 활용 감시, 통제, 경로지정, 안내

자동시스템 활용

A-SMGCS 등급 감시 통제

경로지정 자동안내 항공기

충돌예측 및 탐지 충돌분석 충돌회피 탑재 I

II ^{● ●}

III ^{● ● ● ● ●}

IV ^{● ● ● ● ● ●}

V ^{● ● ● ● ● ● ●}

표 1. A-SMGCS 구현 단계

Table 1. A-SMGCS implementation level.

2-2 A-SMGCS 구현 단계

A-SMGCS는 언급한 4 가지 기능의 수행정도에 따라 표 1와 같이 구현 단계로 구분 된다. 표 1의 구현 단계는 구현하는 기관 과 국가마다 차이가 있으며 국내의 경우 ICAO Doc 9830에 규 정과 유사하게 구현한다. 각 단계별로 단계 1에서는 관제를 위 한 항공기나 이동차량에 대해 기본적인 긴급 상황, 기술적인 부 분과 같은 비교적 간단한 업무를 제공하는 단계이다. 2단계에 서는 1단계의 기능을 기반으로 통제 및 안내 기능에 대한 도입 으로 구성되어 있다. 3단계에서는 조종사들과 이동차량 운전자 사이에서 교통상황을 공유시키고 자동화 경로지정기능이 포함 되어있다. 마지막으로 4단계에서는 3단계에서 이행되는 부분 에서 더욱더 정밀하고 세밀한 경로지정기능이 운용되어 잠재 적인 충돌에 따른 지연 등을 미연에 방지할 수 있다[4].

현재 국내에서는 레벨 Ⅳ단계를 구현 목표로 진행 중에 있지 만 이전 레벨에 해당되는 감시, 통제, 그리고 경로지정에 대한 개발 경험이 없는 상황이다. 따라서 이전 레벨과 안내 업무인 레벨 Ⅳ 단계에 대한 자동화 시스템으로 통합하는 단계이다. 각 구현 레벨 단계별로 구현되면 각 단계별로 검증 및 확인 단계를 거쳐 안전성을 확보할 수 있다. 하지만 국내의 경우 레벨 Ⅳ단 계로 바로 구현하게 되므로 이전 단계에 대한 안전성이 확보되 지 않은 문제점을 가지고 있다. 또한 A-SMGCS 의 4가지 기능

들이 독립적으로 구동되어야 하므로 안전성이 한층 더 강조된 다. 또한 전체 시스템의 통합에서 발생하는 안전성도 동시에 만 족해야 한다. 따라서 전체 시스템 구현 단계에서 장비가 발생하 는 모든 위험 평가가 필요하며 각 위험에 대한 안전 대책이 수 립되어야 한다.

Ⅲ. 안전성 평가 방법론(SAM)

3-1 안전성 평가 방법론의 개요

A-SMGCS 시스템에 대한 기능적 해저드 평가와 예비 시스 템 안전 평가 보고서인 EMMA D 1.3.9 문서로 다음과 같이 정 의하고 있다. 시스템은 인적, 장비, 혹은 절차별로 고장이나 장 애로 인해 전체 시스템에 영향을 최소화하기 위해 각 기능별 발 생하는 해저드 평가를 수행하게 된다. 유로컨트롤에서 해저드 평가를 위해 SAM에 따라 각 장비별로 안전 평가를 수행한다 [3],[5]-[7]. SAM은 기능별 위험요소 평가(FHA) 예비시스템 안 전 평가 (PSSA; preliminary system safety assessment)와 시스템 안전성 평가 (SSA; system safety assessment)등으로 구성된다.

여기서 FHA 단계는 인적, 절차와 장비들에 대한 A-SMGCS 시

스템 기능의 상실(loss) 혹은 저하(degradation)로 인한 안전에

식별

코드 형태(기상조건 4)

HZ-01 절차의 제어 단계로 감시 실패로부터 복구

HZ-02 감시자료 장비의 변형을 탐지 못하고, 분리를 보호하기 위해 감시 자료를 지속적으로 사용

HZ-03 관제사 및 조종사는 이동차량 식별정보 인식하지 못하 거나 잘못된 감시자료 제공

HZ-04 감시 자료 정확성, 무결성의 상실 미탐지로 인한 지속 적인 절차 오용

HZ-05 비행정보 기록지에 반환에 따른 비행자료 장비 실패 HZ-06 관제사는 비행계획자료 장비의 변형을 탐지하지 못하

고 경로지정과 자동화된 탑재장비의 유도 및 지속 유지 HZ-07 관제사는 협력 지원 장비의 변형을 탐지하지 못함 지속

유지

HZ-08 복구 : 동시 이동 항공기의 수가 감소함에 따른 모니터 링 실패 장비 복구

HZ-09 자동화의 오용 : 자동화에 과도한 의존에 따라 관제사 모니터링 장비의 변형을 탐지 못하여 지속 유지 HZ-10 악시정 조건에서 복구: 관제사는 수동 입력과 생성된

업무 부하 시간 증감에 따라 장비 실패를 보상 HZ-11 악기상 조건에서 복구: 관제사는 증가된 인식 절차에

의한 장비 실패 보상

HZ-12 시정조건 3단계 혹은 악 기상 조건에서 감독자는 재분 배 및 관제사 다른 위치 이동

표 2. A-SMGCS 위험요소 식별의 예

Table 2. Hazard identification example of A-SMGCS.

그림 2. 장비, 사람, 그리고 절차에 대한 위험요소 Fig. 2. Hazard come from equipment, people, and

procedures.

잠재적인 결과를 분석하는 단계이며, 각 해저드 효과의 심각성 이 정량적으로 결정하게 된다. PSSA 단계는 제안된 시스템 아 키텍처를 시험하는 단계로 FHA에서 식별된 해저드와 해저드 에 따른 최종 결과가 어떤 결과로 도출되는지를 검사하게 된다.

마지막으로 SSA 단계는 구현된 각 시스템 구성요소의 안전 요 구사항을 충족하는지를 확인하기 위해 논증, 근거와 보장을 수 집하게 된다.

3-2 기능별 위험요소 평가(FHA)

FHA는 전체 A-SMGCS 시스템이 구성되기 이전에 시스템 의 안전성을 사용자 관점에서 발생할 수 있는 해저드를 정의하 는 것이다. 따라서 ICAO의 A-SMGCS 시스템 구현을 위한 Ⅴ 단계와 상관없이 전체 개발 단계에서 모든 해저드들을 만족해 야 한다. 따라서 주요 해저드를 식별하기 위해 아래의 네 가지 단계로 구분한다.

- 단계 1 : 잠재적인 장비 고장의 식별 - 단계 2 : 위험요소들의 식별

- 단계 3 : 위험요소 심각도(severity)의 평가 - 단계 4 : 안전 목표의 명시

각 단계별로 주요 기능을 살펴보면 단계 1인 잠재적인 장비 고장의 식별의 단계로 기능별 분해 (functional decomposition), 데이터 및 제어 흐름식별, 그리고 각 데이터 및 제어 흐름상 고 장 모드의 공지 및 효과를 분석하게 된다. 기능별 분해에서 감 시, 경로지정, 안내, 그리고 통제 등으로 주요 기능별로 주요 요 소별로 분리하여 기능을 분석한다. 데이터 및 제어 흐름은 네 가지 주요 기능 분해에 대한 데이터 및 데이터 흐름식별을 고려 하게 된다. 서로 다른 데이터나 제어요소들이 알려져 있는 경우 같은 하드웨어나 소프트웨어에 의해 작동되며 이러한 데이터 나 제어 요소들은 제어흐름을 결정하게 된다. 데이터 흐름은 시 스템 상태 및 모드, 외부 혹은 내부 흐름, 표현과 적용 프로토콜, 중복성, 주기성, 그리고 허용 가능시간 등에 따라 분석한다. 각 식별된 데이터 및 제어 흐름에 따라 장애(fault) 모드와 고장 (failure) 모드로 구분하게 된다. 장애 모드의 경우 상실(loss), 변 형(corruption) 그리고 순간적인 중단 (temporary interruption) 등 으로 구분되며 고장 모드의 경우 감지되거나 감지되지 않는 경 우로 구별하게 된다. 마지막으로 고장모드와 장애모드의 중첩 되는 상황으로 운영상에서 발생하는 위험요소로 구분된다.

단계 2는 위험요소들의 식별 단계로 그림 3과 같이 장비 , A-SMGCS 단계, 그리고 공항 단계에서 위험요소들을 식별하 게 된다. 식별된 내용은 절차와 인적 자원(조종사, 관제사, 운 전자)에 대한 위험 식별을 수행하게 된다. 따라서 장비와 절차 에 대한 위험 식별은 구현 단계별로위험요소를 판별하여야 한 다. 표 1의 구현 단계에 따라 가장 악화된 기상조건, 공항 교통 량, 공항 레이아웃(layout)에 따라 위험요소 분류하게 된다. 표 2는 EMMA D.1.3.2에서 A-SMGCS 레벨 Ⅳ에 대한 관제사 운

영 관점의 위험 요소를 식별한 예이다.

모든 위험요소들(장비, 사람 그리고 절차)에 대한 위험 식별 은 장비 단계, A-SMGCS 시스템 단계, 그리고 공항 ATC 단계 별로 위험요소를 완화(mitigation) 역할을 구분하기 위한 것이 다. 따라서 절차상 장비 고장을 감지하고 복구하는 절차는 안 전해야하며 사람들은 적절하게 장비 고장에 대처하는 훈련을 통해서 완화할 수 있다.

단계 3은 위험요소의 심각도(severity) 평가는 장비 고장으

로부터 발생된 것으로 확인된 각각의 위험요소들에 대해 심각

도 단계를 평가한다. 심각도는 표 3과 같이 다섯 가지 단계로 구

분하게 된다. 심각도 5의 경우 실제 위험이 발생하지 않은 단계

로 인지되는 상황이며, 심각도 1에서 4까지가 실제 안전 목표에

중요한 자료로 활용하게 된다. 심각도는 위험 요소의 발생 빈도

를 기반으로 사고율을 참고하여 결정하게 되는데 심각도1은 1

기능 식별

코드 위험 요소

감시 (위치,

식별)

H01 모든 A-SMGCS 상실

H02 한 항공기에 대한 위치 기능 상실

H03 여러 항공기에 영향을 미치는 위치 기능 상실 H04 한 항공기에 대한 위치 기능 변형

H05 여러 항공기에 영향을 미치는 위치 기능 변형 H06 모든 식별 기능의 상실

H07 한 항공기에 대한 식별 기능 상실

H08 여러 항공기에 영향을 미치는 식별 기능 상실 H09 한 항공기에 대한 식별 기능 변형

H10 여러 항공기에 영향을 주는 식별기능 변형 통제

(충돌예 상)

H11 모든 충돌 예상 기능 상실

H12 여러 항공기에 영향을 미치는 충돌 예상 기능 상실

H13 충돌 예상 기능의 변형 통제

(충돌분 석)

H14 모든 충돌 분석 기능 상실

H15 여러 항공기에 영향을 미치는 충돌 분석 기능 상실

H16 충돌 분석 기능의 변형 통제

(충돌회 피)

H17 모든 충돌 회피 기능 상실

H18 여러 항공기에 영향을 미치는 충돌 회피 기능 상실

H19 충돌 회피 기능의 변형

경로지 정 (planni

ng)

H20 모든 경로 지정(planning) 기능 상실

H21 한 항공기에 대한 경로 지정(planning) 기능 상 실

H22 여러 항공기에 영향을 미치는 경로지정 (planning) 기능 상실

H23 한 항공기에 대한 경로 지정(planning) 기능 변 형

H24 경로 지정(planning) 기능의 변형

안내

H25 모든 안내 기능 상실

H26 한 항공기에 대한 안내 기능 상실

H27 여러 항공기에 영향을 미치는 안내 기능 상실 H28 한 항공기에 대한 안내 기능 변형

H29 안내 기능의 변형 표 4. A-SMGCS에서 위험요소 식별

Table 4. Hazard identification of A-SMGCS level IV.

심각도

분류 설명 사고

발생확률

5 안전에 영향 없음 매우낮음

4

업무 또는 시스템 기능에 조금의 영향을 주 지만 모든 관계자(예, 관제사 및 승무원)가 여전히 ‘안전한’ 상황으로 인지.

1 0

건 중 1회 발생

3

업무 또는 시스템 기능에 큰 영향을 주지만 1명 이상의 관계자(예, 관제사 및 승무원)가

‘안전한’ 상황에서 좀 더 불안전한 상황으로 인지.

10

건 중 1회 발생

2 높은 사고 가능성과 함께 안전에 상당한 영 향.

100건 중 1회 발생 1 사고(예, 차량간의 충돌 및 인명 손실) 1건 중 1

회 발생 표 3. 심각도 분류와 사고 위험의 관계체계

Table 3. Relationship between accident risk per severity classification.

건의 사고가 인명 손실과 직결된 상황으로 높은 단계를 의미하 게 되고 심각도 4의 경우 10

건 중 1회의 사고가 발생하는 것으 로 안전에서 주의를 기울여야 하는 상황이다.

마지막 단계인 안전 목표(TLS; target level of safety)의 경우 ICAO 매뉴얼에서는 A-SMGCS TLS가 전 세계 사고율을 기반 으로 하여 공항에서 1× 10

(매 운영 시)이며 기능별로 사고율은 다음과 같이 정의하고 있다.

- 유도 기능 : 매 운영 시 3.0× 10

- 감시 기능 : 매 운영 시 3.0× 10

- 통제 기능 : 매 운영 시 3.0× 10

- 경로안내 기능 : 매 운영 시 1.0× 10

따라서 앞에서 식별된 각 위험요소들의 발생 빈도에 따라 A-SMGCS 안전 목표를 설정하고 그에 적합한 위험 요소의 발 생 빈도를 감소할 수 있는 방안이 제안되게 된다. 이와 같이 위 험 요소의 식별은 위험 평가의 항목에 맞도록 설계하게 되고 심각도 역시 사고율과 발생 빈도에 따라 설계하게 된다.

Ⅳ. 위험요소 식별

위험요소의 식별을 위해서 앞에서 살펴보았듯이 시정조건, 교통량, 그리고 공항의 레이아웃을 모두 고려한 상태에서 위험 요소 식별하게 된다(표 4). A-SMGCS는 장애 모드와 고장 모드 로 구분되며 장애 모드의 경우 항공기의 위치, 식별(tag 표시), 그리고 충돌 감지에 대한 정보 손실과 정보 변형으로 의해 장애 를 구분하게 된다. 그리고 고장 모드의 경우 고장 감지 혹은 고 장을 감지하지 못하였는지 등으로 구분된다.

장애 모드에서 데이터의 이동에 따른 데이터 손실(데이터 잘못, 데이터 지연), 그리고 데이터 변형( 데이터 비 일관적, 데 이터 비논리적 혹은 악성 데이터 )으로 구분된다. 여기서 데이 터 변형의 경우 식별 부호 이동, 식별 부호 중복, 그리고 부정확

한 항공기 식별 등이 예이다. 이러한 장애에 의한 영향 및 결과 는 비행장내의 여러 시스템에 대하여 아래와 같이 영향을 줄 것 이다[8].

- 비행장내 안전 서비스 제공 능력 - 관제사/조종사 업무 상황( 업무 부하)

- 운영과 환경적 조건에 대처하는 관제사/조종사 능력 - 항공기 기능적 수용력

- 공항 지상 부분의 기능적 수용력

따라서 세부적인 업무 대처에 대한 위험 요소는 별도로 식

별하지 않았다. 또한 시정상황은 시정상황 조건에 대한 A-SMGCS

구현 단계별로 위험요소 식별하게 되므로 별도로 구분하지 않 았다.

시스템의 고장 모드의 경우, 감시 기능에서 위치 기능의 오 류는 항공기의 식별 및 충돌 예상의 두 기능을 모두 장애가 발 생할 수 있으므로 전체 A-SMGCS 기능의 상실로 간주하게 된 다(HZ-01). 따라서 장비 고장에 따른 관제사는 시각적 인지를 사용하거나 조종사는 시각적 인지를 통하여 안전거리를 유지 하게 된다. 또한 관제사의 경우 항공기 스트립(strip)이 가능한 상황에서 판단하게 된다. 그리고 관제사와 조종사간의 무선 통 신을 통한 위치, 식별, 충돌 등에 상황 인식을 수행하므로 별도 의 위험은 식별하지 않았다. 장비 고장의 감지되지 않았을 경 우, 위치, 식별 등에서 장애 경고가 발생하게 된다. 따라서 감지 되지 않은 상황의 경우 감시 기능에서 위험 식별이 이루어져 있 어 별도의 위험 식별에서 포함되지 않는다.

따라서 표 4와 같이 29가지의 위험요소를 식별하였으며 기 능별로 장애 모드에 대한 위험 요소를 분류하였다. 또한 장애 모드 중 데이터의 상실과 변형에 대하여 세분화하였다. 단, 항 공기에 대한 통제 기능에서 한 항공기가 충돌 예상, 충돌 분석, 충돌 회피의 기능은 사용되지 않으므로 미적용 하였다.

Ⅴ. 결 론

본 논문에서 국내에서 개발되고 있는 A-SMGCS 시스템의 경우, 개발 기간이 5년이라는 단기간 내에 개발되고 있어 구현 이후 발생될 수 있는 위험요소에 대한 식별이 필요하다. 따라서 EMMA D1.3.9의 안전성 평가 방법론(SAM)을 검토하여 안전 성 평가의 기초 자료를 확보하기 위하여 조사하였다.

A-SMGCS의 SAM은 FHA, PSSA와 SSA등으로 구성되고 있 으며 FHA 단계는 인적, 절차와 장비들에 대한 A-SMGCS 시스 템 기능의 상실 혹은 저하로 인한 안전에 잠재적인 결과를 분석 하는 단계이며, 각 해저드 효과의 심각성이 정량적으로 결정하 게 된다. PSSA 단계는 제안된 시스템 아키텍처를 시험하는 단 계로 FHA에서 식별된 해저드와 해저드에 따른 최종 결과가 어떤 결과로 도출되는지를 검사하게 된다. 마지막으로 SSA 단 계는 구현된 각 시스템 구성요소의 안전 요구사항을 충족하는 지를 확인하기 위해 논증, 근거와 보장을 수집하게 된다.

따라서 A-SMGCS에서 발생할 수 있는 위험요소를 식별하 기 위하여 장애 모드와 고장모드로 구분하였으며 고장 모드의 경우 장비의 고장에 따라 발생하는 상황으로 운영자가 감지 및 비감지 상황으로 구분하였으며 장애 모드의 경우 운영자에게 전달되는 데이터의 상실과 변형으로 구분하였다. 또한

A-SMGCS의 4 가지 기능은 감시, 통제, 경로지정, 그리고 안내 등으로 감시 기능에 의하여 항공기의 통제, 경로지정, 그리고 안내가 수행되므로 감시 기능에 대한 위험 식별을 세분화하였 으며 각 기능별로 장애 모드에 대하여 정리하였다. 최종 29가지 의 위험요소를 식별하였으며 추가 운영상에 발생할 수 있는 요 소들이 추가적으로 식별이 필요한 상황이다.

추후 식별된 위험요소를 근거하여 사고 사례를 조사하므로 심각도 분석과 위험요소를 제거하기 위한 방안부분의 연구가 더 진행되어야 할 것으로 사료된다.

감사의 글

본 논문은 2014년도 국토교통부 항공안전기술개발사업 연 구비(14ATRP-C069188-02)지원에 의하여 이루어진 연구로서, 관계부처에 감사드립니다.

참고 문헌

[1] ICAO, Manual on advance surface movement control systems(A-SMGCS), Doc 9830-AN/45, 1st Ed., 2004.

[2] M. Roeder, European airport movement management by A-SMGCS(EMMA), 2006 . [Internet]. Available: http://www.

aerodays2006.org/sessions/D_Sessions/D2/D24.pdf

[3] S. Paul and F. L. Mai, A-SMGCS, functional hazard assessment, and very preliminary system safety assessment, EMMA D 1.3.9, Thales ATM, 2005.

[4] Eurocontrol, Definition of A-SMGCS implementation levels, EMMA, pp. 8-17, 2010.

[5] S. H. Choi and S. B. Hong, “A study of functional hazard assessment methodology,” Aviation Management Society of Korea Fall Conference 2014, Busan: Korea, 2014.

[6] Eurocontrol, Air navigation system safety assessment methodology(SAM), SAF, ER1.ST03.1000-MAN-01-00, ed.2.0.

[7] S. H. Choi, Y. C. Choi and S. B. Hong, “A study on the hazard identification of A-SMGCS implementation levels,” The Korean Society of Aviation and Aeronautics Fall Conference 2014, Incheon: Korea, pp 65-68, 2014.

[8] Eurocontrol, Preliminary safety case A-SMGCS level 1 and 2,

EMMA D 2.1, 2010.

홍 승 범 (Seung-Beom Hong)

2003년 8월 : 한국항공대학교 항공통신정보공학과 (공학박사) 2004년 2월 ~ 현재 : 한서대학교 항공전자공학과 교수

※관심분야 : 항공전자, 컴퓨터 비젼, 항공기 시뮬레이터, 항공사고

최 승 훈 (Seung-Hoon Choi)

2014년 2월 : 한서대학교 항공전자공학과 (공학사) 2014년 3월 ~ 현재 : 한서대학교 항공시스템공학과 석사과정

※관심분야 : 항공전자, 무인기, 영상처리

최 연 철 (Youn-Chul Choi)

2003년 8월 : 한국항공대학교 항공운항관리학과 (이학박사) 2004년 3월 ~ 2007년 2월 : 한국항공대학교 항공안전교육원 교수 2007년 3월 ~ 현재 : 한서대학교 항공학부 교수 및 항공학부장

※관심분야 : 항공안전, 항공운항, 항공사고분석